Kể từ ngày 1 tháng 3 năm 2026, smartphone đã root/jailbreak, đã unlock bootloader, bật debugger sẽ không thể dùng các ứng dụng Mobile Banking. Ngoài ra, các đơn vị phát hành ứng dụng Online banking/Mobile Banking phải tăng cường các biện pháp bảo mật theo tiêu chuẩn của OWASP.
Theo Thông tư số 77/2025/TT-NHNN trong đó sửa đổi và bổ sung một số điều của Thông tư số 50/2024/TT-NHNN vừa được Ngân hàng nhà nước Việt Nam ban hành, trích điều 4 và điều 5:
Điều 4. Sửa đổi, bổ sung một số điểm, khoản của Điều 7
1. Sửa đổi, bổ sung điểm c khoản 3 Điều 7 như sau:
"c) Đánh giá, dò quét phát hiện lỗ hồng, điểm yếu về mặt kỹ thuật. Đánh
Theo Thông tư số 77/2025/TT-NHNN trong đó sửa đổi và bổ sung một số điều của Thông tư số 50/2024/TT-NHNN vừa được Ngân hàng nhà nước Việt Nam ban hành, trích điều 4 và điều 5:
Điều 4. Sửa đổi, bổ sung một số điểm, khoản của Điều 7
1. Sửa đổi, bổ sung điểm c khoản 3 Điều 7 như sau:
"c) Đánh giá, dò quét phát hiện lỗ hồng, điểm yếu về mặt kỹ thuật. Đánh
giá khả năng phòng, chống các lỗ hồng, điểm yếu, kiểu tấn công bảo đảm tối thiểu các yêu cầu sau:
(i) Đối với phần mềm ứng dụng Online Banking cung cấp qua nền tảng web, phải phòng, chống 10 lỗ hổng phổ biến nhất được công bố bởi tổ chức OWASP (OWASP Top Ten).
(ii) Đối với phần mềm ứng dụng Mobile Banking, đáp ứng tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động do tổ chức OWASP công bố (OWASP Mobile Application Security).
(iii) Phiên bản OWASP Top Ten hoặc OWASP Mobile Application Security áp dụng là phiên bản mới nhất hoặc phiên bản gần nhất với phiên bảnSđược ban hành trong vòng 06 tháng.".
2. Sửa đổi, bổ sung điểm g khoản 6 Điều 7 như sau:
“g) Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để bảo đảm việc thực hiện giao dịch thanh toán trực tuyến (ngoại trừ thanh toán thẻ trực tuyến qua đơn vị chấp nhận thanh toán) bao gồm tối thiểu hai bước: tạo lập và phê duyệt giao dịch.
Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch không bắt buộc tách biệt hai bước tạo lập và phê duyệt giao dịch;".
3. Sửa đổi, bổ sung điểm b khoản 8 Điều 7 như sau:
Quảng cáo
“b) Phần mềm ứng dụng Online Banking phải có chức năng xác thực kết nối với phần mềm của khách hàng tổ chức để bảo đảm an toàn, bảo mật, chống gian lận, giả mạo theo tiêu chuẩn, quy chuẩn quốc tế hoặc Việt Nam;".
Điều 5. Sửa đổi, bổ sung một số khoản của Điều 8
1. Bổ sung khoản 1a vào sau khoản 1 Điều 8 như sau:
“1a. Kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking:
a) Định kỳ tối thiểu 03 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hồng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.
b) Trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn, bảo mật theo quy định. Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.
Quảng cáo
c) Khi phát hiện có lỗ hồng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm tra, không cho thực hiện giao dịch hoặc có biện pháp kiểm soát nhằm phòng chống tội phạm lợi dụng lỗ hồng bảo mật để tấn công mạng, thực hiện các giao dịch gian lận, chiếm đoạt tài sản; đồng thời đơn vị phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong thời gian theo quy định tại khoản 6 Điều 14 Thông tư này.".
2. Sửa đổi, bổ sung khoản 4 Điều 8 như sau:
“4. Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng. Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong các dấu hiệu sau:
a) Có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator)/máy ảo/ thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge);
b) Phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API .... (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking);
c) Thiết bị đã bị phá khóa (root / jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlock_bootloader).".
Như vậy về phía ngân hàng hay các đơn vị phát hành dịch vụ Online Banking, thông tư 77 đã bắt buộc các bên phải tuân thủ danh mục OWASP Top Ten cho ứng dụng web và OWASP Mobile Application Security. OWASP Top Tenlà bộ tiêu chuẩn bảo mật phổ biến nhất thế giới cho phép các ngân hàng đối soát và tạo ra khung tham chiếu rõ ràng cho các đơn vị phát triển phần mềm. Thêm vào đó thời hạn cập nhật phiên bản mới nhất trong vòng 6 tháng sẽ cho phép hệ thống có thể đối phó với các kỹ thuật tấn công mới.
Với các ứng dụng Mobile Banking, thông tư 77 đặt ra quy định chống hạ cấp để hạn chế khả năng tin tặc khai thác các lỗ hổng trên phiên bản cũ của ứng dụng để tấn công. Đồng thời ngân hàng sẽ phải thực hiện đánh giá bảo mật định kỳ 3 tháng của ứng dụng.
Các ứng dụng Mobile Banking cũng được yêu cầu phải có cơ chế tự bảo vệ, chủ động thông báo hoặc tự động thoát, dừng hoạt động nếu phát hiện ứng dụng được chạy trong môi trường không an toàn bao gồm các thiết bị bật trình gỡ lỗi, máy ảo và các thiết bị đã bị root/jailbreak, thậm chí đã unlock bootloader. Ngoài ra ứng dụng Mobile Banking cũng phải có cơ chế chống các thủ pháp tấn công như chèn mã độc, ghi lại log dữ liệu, bị đóng gói lại (repack).
